局域网ARP欺骗的工作原理与防范策略摘要:ARP欺骗的发生严重影响到局域网用户的上网安全,网络的正常运转。本文从研究ARP协议的工作原理和交换机的工作原理出发,表述了ARP欺骗的现象及类型,然后对ARP欺骗提出了有力的防范策略。关键词:ARP欺骗;交换机;防范1引言随着计算机网络的飞速发展,大多数单位都建立了自己的局域网。ARP(AddressResolutionProtocol)地址解析协议是局域网中数据链路层不可缺少的协议,但黑客利用此协议漏洞编制出ARP病毒,网络剪刀手,网络执法官等恶意软件,使正常局域网用户上网必须通过病毒主机上网,造成用户上网速度特别慢,一会能上,一会断掉,用户上网的个人帐号和密码等信息泄露,这已成为网络管理者迫切需要解决的问题。2ARP协议和交换机的工作原理分析2.1ARP工作原理局域网中上网的每台主机都必须有一个IP地址,在IP数据报的头部包含源主机和目的主机的IP地址,但在数据链路层是以帧为单位进行数据传输,例如Ethernet_II的帧格式如表1所示。Ethernet_II帧结构在帧格式中目的地址和源地址都是6个字节,48比特表示,该地址称为MAC地址,又称物理地址。生产网卡时,MAC地址被固化在网卡芯片中。在MAC地址的6个字节中,前3个字节由IEEE(国际电气和电子工程师协会)负责分配,这3“”个字节称为厂商代码,后3个字节由厂商自行分配,这种方法使得全世界范围内每一块网卡的地址都是唯一的。2.2交换机的工作原理交换机按照收到的每一个数据帧中的MAC地址进行信息转发。交换机维护着一张地址映射表,记录MAC地址和交换机端口的对应关系。当交换机接收到一个数据帧后,它首先读取帧头中的源MAC地址和目标MAC地址。交换机根据源MAC地址和接收这个数据帧的端口就可以知道源MAC地址的机器连接在哪个端口上,从而更新地址映射表。交换机再根据目标MAC地址在地址映射表中查找对应的端口,如果查到则把数据帧直接复制到这个端口上,如果表中没有记录则把数据帧广播到除此接收端口之外的所有端口上。当目标机器对源机器发回响应时,交换机就可以知道目标MAC地址在哪个端口上,并更新地址映射表,下次再传送数据帧给这台机器时就不需要广播了,而是直接转发。以上分析的结论是:交换机维护着一张地址映射表,表中的MAC地址与交换机端口号的对应关系是学习得到的,因此交换机上不存在ARP欺骗问题3ARP欺骗的故障现象及类型3.1ARP欺骗的故障现象在日常生活中,我们经常会遇到一些网络的故障现象,如:打开一些站点时返回本地计算机的网页被修改,网页上出现了指向病毒网站的超链接、网页错误等;用户上网的速度明显变慢,在Ping与DNS的连通性时明显时间过长且长短不稳定,甚至常常发生丢包现象;从网上邻居拷贝文件有时无法完成、出现错误等现象。出现这些问题后,一般的用户会对本机查杀病毒和安装防火墙,但都不能有效的解决问题。网站管理员也会检查站点的源程序是否被挂木马,但结果是源程序正常。经过反复分析、研究和实践,确定主要原因是局域网内的ARP欺骗问题。3.2ARP欺骗的类型一种是对局域网计算机的欺骗,另一种是对内部网关的欺骗。对于局域网计算机的ARP欺骗实质是:病毒主机以代理计算机的身份插入在两台计算机之间,截获用户的数据、篡改用户的数据,使用户上网的速度变慢或者上不了网。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成网关:病毒主机使用网关的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给被欺骗主机;ARP协议的原理决定了无论一台计算机是否发送过ARP请求帧,当它收到一个ARP应答帧时都会检查并更新自己的ARP缓存表;于是被欺骗主机的ARP缓存表中网关的IP地址就指向了假网关的MAC地址;以后该用户计算机发往网关的数据帧则全部发给了这台病毒主机。对于网关的ARP欺骗实质是:病毒主机向网关发送伪造的ARP应答帧,造成网关ARP缓存表中的错误记录,使网关将原本发送给用户计算机的数据发送给了错误的机器,严重时网关将无法工作。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成用户计算机:病毒主机用伪造的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给网关;网关检查并更新自...
VIP
